NCSC maakt bevindingen impact VS Cloud Act bekend

Op 26 juli 2022 heeft Greenberg Traurig LLP namens Herald Jongen, Gretchen Ramos, Wouter van Wengen aan het NCSC en de Ministerie van Justitie en Veiligheid een memorandum gestuurd over de reikwijdte van de Amerikaanse CLOUD Act (“Cloud Memo”).

Er is gevraagd om te adviseren over de praktische impact van de CLOUD Act en om te onderzoeken hoe vaak de Amerikaanse overheid zich beroept op de CLOUD Act, en hoe vaak dit leidt tot openbaarmaking van persoonsgegevens van EU-ingezetenen.

Samenvatting van het onderzoek:

Het risico van openbaarmaking van persoonsgegevens van EU-ingezetenen of andere gegevens onder de CLOUD-wet lijkt te zijn (heel laag. Transparantierapporten van drie van de grootste Amerikaanse cloudserviceproviders (Microsoft, Amazon, en IBM) diepersoonsgegevens opslaan buiten de VS (wat valt onder de CLOUD Act) bevatten de volgende relevante informatie:

Sinds de Amerikaanse CLOUD Act in maart 2018 van kracht werd, heeft Microsoft 12 onthullingen gemeld van niet in de VS gevestigde gegevens over bedrijfsinhoud aan de Amerikaanse overheid. Houd er rekening mee dat het onzeker is of er persoonsgegevens van EU-ingezetenen zijn bekendgemaakt in verband met deze 12 openbaarmakingen, sindsdien dit wordt niet gespecificeerd in de rapporten.

In november 2021 verklaarde Microsoft dat ze "nooit toegang hebben verleend tot persoonlijke gegevens van het publiek brancheorganisaties in de EU aan elke overheidsinstantie."

In 2021 verklaarde IBM dat ze slechts 1 verzoek van de Amerikaanse overheid voor EU-clientcontent hadden ontvangen afgekeurd.

Sinds juli 2020 heeft Amazon consequent verklaard dat ze geen enkele onderneming of inhoudsgegevens van de overheid die buiten de VS zijn opgeslagen, aan de Amerikaanse wetshandhaving.